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Die folgenden Angaben smd den vom Anmelder eingereichten Unterlagen entnommen 

@ Verfahren und Vorrichtung zur Erfassung von Oaten und deren Ubermittlung in authentischer Form 

(57) Die vorliegende Erfindung betrifft die Erfassung und 
Ubermittlung von Daten. Genauer betrifft die vorliegende 
Erfindung ein Datenerfassungsgerat, das Daten nach ih- 
rer Erfassung bzw. Eingabe an ein anderes Oatenverarbei- 
tungsgerat in einer authentischen Form ubermittein soli. 
Die authentische Form soli einen eindeutigen RuckschlufS 
auf denjenigen Benutzer des Oatenerfassungsgerates er- 
moglichen, der nach Durchfuhrung geeigneter Sicher- 
heits- bzw. Kontrotlmafinahmen die Ubermittlung der Da- 
ten freigegeben hat. Erganzend kann die authentische 
Form auch eine Uberprufungsmoglichkeit dafur eroffnen, 
ob die Daten bet der Ubermittlung zu einem anderen Da- 
tenverarbeitungsgerat unbefugt manipuliert worden 
sind. AufSerdem betrifft die vorliegende Erfindung auch 
ein Verfahren zur Steuerung eines erfindungsgemafien 
Oatenerfassungsgerates, insbesondere auch in seinem 
Zusammenwirken mit einem anderen Datenverarbet- 
tungsgerat. 
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Bosch rcib LI ni: 

F rintcr^nitul ilcr Hrfirnluni; 

Die vv'trliegenilc Hrrinilurii; bcirilVr die Firtassung and 
(ihonuirtlung von Daten. C/enaLier bctrittt die voriicuende 
Hrhndiing cin Datenert'aNSuni;;sgorat. das Daren nach ihrcr 
Ertassung hzw. Eingabe an cin anderes Daren verarbeirungs- 
iiercir in oiner aurhenrischen Fonu iibennirreln soil. Die au- 
tlicnrische Form solloinen eindeurigcn RuckschlulS aiit den- 
jcnigen Benurzer des Datenerfassungsgerares en nog lichen, 
..icr nach Durchtlihrung geeigneter Sicherheirs- bzw. Kon- 
irolLruaBnahnien die Ubeniiirrlung der Daren t'reigegeben 
bar. Ergiinzend kann die aurhentische Fomi auch eine IJber- 
prufungsinoglichkeir datur eroffnen, ob tlie Daren bei der 
Ubenuitrlung zu eineru anderen Darenverarbeirungsgerar 
unbet'ugr ruanipuliert worden sind. AuBerdem berritYr die 
vorliegende Erfindung auch ein Verfahren zur Srcuerung ei- 
nes erhndungsgeniaSen Darenertassungsgerates, insbeson- 
dere auch in seinerii Zusarunienwirken niit eineni anderen 
Darenverarbeirungsgerar. 

Anwendungsgebiet der Erfindung 

Eine wichrige Anwendung von Darenverarbeirungsgera- 
ten bzw. Coruputem isr die Ubermiulung von Daren an an- 
dere Computer. Zur Ubermitrlung konnen zusammenge- 
schaltere Nerzwerke wie lokale Nerzwerke (LAN) bzw. 
weirrauiiiige Nerzwerke (WAN) wie z. B. das Interner ver- 
wendet werden. Immer verbreirerer wird jedoch auch die 
mobile Darenkommunikation. Die zu ubenuittelnden Daten 
konnen direkt in ein Datenerfassungsgerat eingegeben bzw. 
von diesein ert'alSr werden. sie konnen jedoch auch von ex- 
temen Geraren wie z. B. Peripheriegeraten. Videokameras, 
Scannem und dergleichen ertalSt werden. 

Dabei soil hautig die Benutzung des Darenertassungsge- 
rates nur hierzu berechtigten Benutzern moglich sein. Alter- 
nativ hierzu ist es jedoch hautig auch erforderlich. dalS der 
andere Computer fesrsrellen kann, von welchem Benurzer 
die Obemiittlung der Daren aurorisiert worden isr. Dies ist 
insbe.sondere dann ertbrderlich. wenn die zu ubermittelnden 
Daren zum AbschluB oder zur Durchtuhrung eines Geschaf- 
tes dienen und deshalb rechtsverbindlich sein sollen. oder 
wenn die Daren als Beweis dienen sollen. 

Ferner werden hiiufig Daren ubenuitrelt. die einem Zu- 
gritY Oder einer Manipulation durch unberechrigre Drirre 
nichr zugangUch sein soUen. Nur wenn der andere Compurer 
eniiirrcln kann. daB die Daren wiihrend der Ubermitrlung 
nicht ruanipuliert worden sind, ist die Authenrizitat bzw. 
Glaubwiirdigkeit der Daten. die von dem anderen Compurer 
emptangen werden. gewahrleisrer. 

Srand der Technik 

Oblicherweise wird zu diesen Zwecken die Zugangsbe- 
rechrigung des Benurzers gepriit't und/oder die zu ubertra- 
genden Daren werden verschlusselr. 

Fij». 9 srellr einen Compurer dan wie er zur Darenertas- 
sung und Dareniibennittlung itu Srand der Technik verwen- 
(.Ici wird. wobei cine Zugangskonrrolle vorgesehen isr, damit 
der Compurer nur von hierzu Berechrigien genutzr werden 
kann. 

Dabei isr ein Compurer (901) mir Monitor (902) und Ta- 
slarur (903) dargesrclU. Zur Ausllihmng von Prograiunian- 
wcisungen dieni cine Prozcssorkarre (904). Daten. ilie iiber 
ilic Taslaiur eingegeben a.ter von der Maus ausgewiihlr wer- 
den. werden an ilic Pro/.essorkartc (904) ubermirreli und von 
iticscr an Anwerulungsprogramme wciiergereichi. die cben- 



tails uuf dicscr Pnv.essnrkarrc oder aber uul' anderen PC- 
Karrcn hetrieben werden. 

Es sei ilcr Fall beirachrei. daB der Compurer mir einem an- 
deren C\.>mputer iihcrden f/bcnnirt lungs weg (905) kommu- 
s ni/.ierr. Damii die f Jbeniiiiilung der Daren nichr vvni hierzu 
[Jnberechtigien t'roigegeben b/.w. aurorisiert wird. kann ein 
Zugang^kofUrollsystcm verwender werden. wie /. B. ciri 
Magnersrreifenleser (906). we I c her auF einem aut einem 
Speichermedium (907) gespeicherre Daren abrut'r unil diese 

10 ggf. mir weitercn henuizcrspezifischen Daten. wie /. B. ei- 
nem Person lichen-rdentiti/.ierNummer (PFN) oder einer 
TransAkrionsNumnier (TAN) vergleicht. War die Errtiirr- 
lung der [denrirat des Benur/ers erfotgreich, so wird die Be- 
nurzung des Cotupufers tiir den als hierzu berechtigr ermir- 

15 reUen Benurzer t'reigegeben. 

Damir nun nicht der Darenverkehr auF dem Ubenuitr- 
lungsweg (905) von unberechrigren Drirren belauscht und/ 
Oder manipulierr werden kann. werden iiblicherweise Ver- 
schliisselungsvertahren angewender. Ublich sind symnierri- 

20 sche oder asynuuetrische Verse h I iisse lungs vertahren. Zur 
Verschlusselung der Daren wird htiuftg ein speziell aussebil- 
deter VerschlUsselungschip bzw. Kry ptochip verwender, der 
sich enrweder direkr aut' der Prozessorkarre (904) oder an ei- 
nem anderen Ort irn (Jehiiuse des Conipurers befindet. 

15 In Kombinarion mir deroben beschriebenen Zugangskon- 
rrolle kann der Compurer in einer Nornialberriebsweise be- 
trieben werden. in welcher die Daten unverschlusselt uber- 
mirrelt werden. oder aber in einer Verschlusselungsbetriebs- 
weise. in welcher die Daten vor der Ubemiirtlung verschliis- 

30 sell werden. 

Falls eine Zugangskontrolle ertblgt, so wird bei her- 
kommlichen Systenien vereinbart, daB die Ubeniiittlung der 
Daren nur von dem hierzu Berechrigren aurorisiert worden 
ist. Eine solche Vereinbarung ist tur gewisse BeLange der 

->5 Darensicherheir ausreicliend. 

Nachteile aus dem Stand der Technik 

Nachteilig an der beschriebenen Vorgehensweise. isr zu- 

40 nachst. daB die Verschlusselung ublicherweise dynai\usch 
ein- und ausgeschaltet wird. Dies bedeutet, daB die zu uber- 
mittelnden Daten zu gewissen Zeirpunkten wahrend der be- 
schriebenen Vorgehensweise in unverschlusselter Fonn vor- 
liegen und erst in einem abschlieBenden Schritt vor der 

45 Ubermirilung verschlusselr werden. Dies bieret einen An- 
gritYspunkr tur ungewunschre Manipularionen. Dies berritft 
insbesondere diejenigen Daren, die ein Benurzer mit Hilt'e 
eines Anwendungsprogranuus ggf. einschlieBlich einer Me- 
niiauswahl in ein Datenertassungsgeriit eingibt und die dann 

50 an einen angeschlossenen Computer zum Zwecke der Uber- 
mittlung an einen anderen Rechner weirergeleitet werden. 
Weil die Daren zu gewissen Zeirpunkten unverschlusselt 
vorliegen, wie z. B. wahrend der Ubertragung vom Datener- 
fassungsgerat zum Computer.konnen sie ohne groBeren vor- 

55 herigen DechitYrieraufwand manipuliert werden. 

Solange nicht sichergesrelU isr, daB innerhalb des Daren- 
crtassungsgeriires keine Manipularion der zu iibentiitrelnden 
Daren ert'olgen kann. bzw. solange der Benurzer die zu iiber- 
mirrelnden Daren vor ihrer Ubermirrlung nicht nochmals 

60 uberpriitr. kann nicht gewahrleisrer werden. daB diejenigen 
Daren, die der andere Rechner nach Ubennirrlung und ggf. 
nach dercn Enrschliisselung erhalr. auch wirklich die von 
dem Benurzer aurorisierren Daten darsrellen. 

Ein we ire re r Gmnd tlir die bestehcnile Un sic her heir isr. 

65 daB lias Darenertassungsgerar an sich unsicher sein kann. 
Beispielsweisc deshalb. weil ein Unberechrigrer die Hard- 
ware - von auBen uncin.^ehbar - manipulicren kann. Oiter 
weil in die Software vxlcr das Berriebssystem Viren. Wiir- 
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nicr »xlcr sotisrigc LVfunifuilationsiiiiucI cuigcbrLiclu vvcrvlcn 
kormcn. 

Diosc Unsicherheii wirct duilurcli crholu. daB die Vcrncr- 
/un^ von Compufcrn ublicli j;ewordcn isi. Friiuliij wcrdcn 
Coiiipuicr untereinantItT nicht nur in lokalon Nerzwerkcn 5 
(I.AN) z. B. eines Uniemehmens vemerzt sondcm /uneh- 
[iiend verfuiicn entvvctlcr die Arbcitsplutzrcchner (clients ) 
selbst CK-ier aber Server solcher Nerze uber einen AnschluB 
an unsichere tVetzwerke. wie z. B. deru [nternet. Dies erot't- 
net prinzipiell die Moglichkeir. dat> Unberechtigre entweder lo 
unniittelbar Daten in solchen Netzwerken nianipulieren 
konnen oder dadurch, daB Manipularionstuittel wie Viren 
Oder dergleichen in wichtige Prograiimueile eingebraeht 
werden konnen, weLche dann ihrerseits unberechtigre Mani- 
pulationen vornehnien. i5 

Nachteilig ist auBerdetu, daB ein Nactiweis dieser und 
iilinlicher Manipulationen der Daren nach deren Ubemiirr- 
lung bei bestehenden Systeriien nicht rnoglich ist. Nachteilig 
ist insbesondere, daB ein sicherer Nachweis der Authentizi- 
tat bzw. Echtheir der Daren nicht gewahrleistet isr. 20 

Nachteilig isr auBerdeitu daB Daten. die in Datenerfas- 
sungsgertire eingegeben unLi/oder von diesen erfaBt und/ 
oder von diesen an andere Darenverarbeitungsgerate iiber- 
iiiirielr werden. nicht als rechrsverbindliche Grundlage zurii 
AbschluB Oder zur Durchtiihrung von Geschaften jedwel- 25 
cher Art verwendet werden konnen. 

Autgaben der Erfindung 

Eine Autgabe der vorliegenden Ertindung ist es. ein Ver- 30 
faliren zu ftnden, das es eriTioglicht. Veranderungen bzw. 
Manipulationen von erfaBien und zu ubemiittelnden Daren 
ruoglichst triihzeitig in ihrem Entstehungs- bzw. Koniposiri- 
onsprozeB nachzuweisen. 

Eine weirere Aufgabe der vorliegenden Erfindung ist es. 35 
die Sicherheir bei der Erfassung, Eingabe und Ubennittlung 
von Daten zu erhohen. Eine weitere Autgabe dieser Erfin- 
dung ist es, ein Vert'ahren zu finden, welches es emioglicht, 
daB Daren, die in ein Datenertassungsgerat eingegeben und/ 
oder von diesem ertaBt und/oder von diesem an andere Da- 40 
tenverarbeitungsgerate ubennittelt werden, nroglichsr ein- 
deutig der Person zugeordnet werden konnen, welche zur 
Benutzung des Date nertassungsge rates berechtigt war und/ 
oder die (Jbenuittlung der Daren aurorisiert hat. 

Eine weitere Autgabe der vorliegenden Erfindung ist es. -^5 
ein Datenertassungsgeriit vorzuschlagen. das zur Durchtiih- 
rung der vorgenannren Verfahren geeignet ausgelegt ist. Ins- 
besondere soil auch eine geeignete Vorgehensweise zur Er- 
fassung unti/oder Eingabe und zur Ubennittlung von Daten 
durch ein ertindungsgemiiBes Datenertassungsgeriit getun- 50 
den werden. 

Eine weitere Aufgabe der vorliegenden Errtndung isr es. 
daB Daten. die von eine in Datenertassungsgeriit ertaBt. in 
dieses eingegeben un(.i/oder von diesem an andere Darenver- 
arbeitungsgerate ubennittelt worden sind. als rechtsverbind- 55 
lie he Grundlage zuin AbschluB. zur Durchtiihrung etc. von 
Geschaften verwendet werden konnen. 

Eine weitere Autgabe der vorliegenden Erfindung ist es 
zu erruoglichen. daB nur authentische Daten ein Darenert'as- 
sungsgeriii verlassen. 60 

L-osung der Autgaben 

Die vorgenannien Autgaben werden durch eine Vorrich- 
lung gctniiB ileni Haupranspruch so wie den nebengeordne- 
rcn Vorrichrungsanspriichen sowie durch ein System gemiiB 
dcm Nebcnanspnich 26 gelosi. Das ertindungsgemiiBc Ver- 
lalircn /ur Losunvj ilcr tjenannren Probleme isr in Nebenan- 



spruch 27 beans pruchr. Wciiere /.wcckmiiBige Ausfiihrungs- 
rbnncn dcs erhndungsgcniaBen Vcrt'ahrcns h/w. Darcncrl as- 
sungsgeriires /ur Ertassung von Daren uml dcrcn f /berniiri- 
lung in aurhenrischer Fonn werden durch tlie [Jnteransprii- 
che derinien. 

Vorreile der Erfindung 

GemiiB der Ertindung wird ein Darenerfassungsgeriit vor- 
geschlagen. das nur aus einer Datenertassungseinheir. aus 
einer Edenrifikarionseinheir. aus einer Datenverschliissel- 
ungseinheit und einer Dateniibennittlungseinheir bestehr. 
Durch Reduzierung der Baugruppen aut* ihr absolutes Minii- 
nuni wird die Anzahl von Schwachsrellen oder moglichcn 
Angritfspunkten tur eine Manipulation der ert'aBten Daren 
reduziert. Vorzugsweise befinden sich diese Baugruppen in 
einetn mechanisch srabilen und geschiitzren Gehiiuse, so 
daB vorreilhafterweise eine Manipulation der Hardware des 
Darenerfassungsgerates unrerbunden wird. 

Das ertindungsgemaBe Datenertassungsgeriit t'tihrt nur 
solche Prograrunianweisungen aus. die sich aut'einem Fest- 
wertspeicher bzw, ROM innerhalb des Gehiiuses des Daren- 
erfassungsgerares, befinden. Weil dieses in seiner bevorzug- 
reri Aust'uhrungstbrm nicht uber einen eigenen Direkt-Zu- 
griffsspeicher bzw. RAM verfugt, ist vorteilhafterweise eine 
Manipulation der Geriite-Software durch Viren. Wiimier 
oder sonsrige Manipulationsmittel unrerbunden. 

Eine weitere der Erfindung zugrundeliegende Idee isr. die 
ertaBten und zu ubennirtelnden Daten so tmh wie rnoglich 
zu fixieren bzw. in eine authentische D ate ndarste Hung zu 
trans tonnie re n. Bei einer bevorzugten Austuhrungstbrm, 
wie z. B. bei der Eingabe von Daten in eine Computertasta- 
tur. werden soiuit die Daten bereits innerhalb der Tastatur 
verschlusselt, in eine authentische Darstellung transtonnien 
und in dieser Darstellung an einen angeschlossenen Compu- 
ter uberniittelt. Dies unterbindet voneilhafterweise die 
Moglichkeit, daB die Daten wiihrend ihrer Ubennittlung 
uber das Verbindungskabel zwischen dem Datenertassungs- 
geriit und einem andere Rechner, oder bei der bevorzugten 
Ausfuhrungstbmi zwischen der Compurertasrarur und dem 
Computer, belauscht und rnanipuliert werden. 

Sowohl das ertindungsgemaBe Verfahren als auch die er- 
findunesgemiiGe Vorrichtung verschlusseln die Daren vor 
ihrer Ubennittlung mit Hilfe eines ublichen Verschlussel- 
ungsverfalirens. Hierbei konnen sowohl asymmerrische Ver- 
schliisse lungs verfahren als auch symrnetrische Verschliis- 
se lungs verfahren verwendet werden. Indem zur Verschliis- 
selung benutzerspezifische Schlussel verwendet werden. ist 
voneilhafterweise eine eindeutige Edentitizierung des die 
Ubennittlung autorisierenden Benurzers rnoglich. Voraus- 
serzung hierfur ist. daB die Identitiit bzw. Berechtigung des 
Benutzers hinreichend sorgtaltig iiberpriift wird. Zur Edenti- 
tikation des Benutzers werden bevorzugterweise biomerri- 
sche Verfahren, PaBworr verfahren. Shared- Secret -Schemes 
verwendet, eine bevorzugte Ausfiihrungsfonn verwendet je- 
doch eine Chipkarte, die bevorzugterweise einen Kryptogra- 
phiechip beinhaltet, der zur Verschlusselung und Transfor- 
mation der Daten in eine authentische Darstellung verwen- 
det werden kann. Diese Eden ti ft kat ions verfahren sind im Be- 
schreibungsteil genannt und beschrieben. aus dem Srand der 
Technik hinreichend bekannt und brauchen deshalb nichr 
eingehender erliiuteri werden. 

Symmerrische bzw. asymmerrische Verschlusselungsver- 
t'ahren sind aus dem Stand der Technik hinreichend bekannr 
und brauchen deshalb nicht eingehender erliiuten werden. 

GemiiB der vorliegenden Ertindung wird die Inregritiii 
b/w. Unversehrtheir der iibennirtelten Daten durch krypto- 
graphischer Priifwerie bzw. Siegel gewiihrlcisiei. mit deren 
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ffiltc tVlvHlilik;itii)ncci iter ubcrniinclien Daten fcstgcsiellr res. 

vvcnlcn konncn. f[ier/.u verwcndct cine bevorzugrc Aust'uh- Kij». 4 stcllr cin '/usr;irnlsiihcri;anv;sdi;iLrninmi Jcs crlin- 

rungstbrm ilii:italc Signaturen unicr Vcrwcndung iiblichcr ^lungsgeinaBcn Duiencrtassungsgtrrarcs ilur. 

asvrumctrischcr SchlusseL Liine arnlerc Austuhrungst'onn Fig. 5 zcigt einc hevorzugte Atisfuhrungst'orm ilcs crlin- 

vorwcnilet jcdoch /ai dicsctu Zwccke syriimetrische Ver- 5 tlungsgeniaBon Datencrfassungsgerures, tias niit cincni 

schlLissekingsvcrfahrcn. CA.nupuier vcrhumlen isr, iibcr don die Ubemiittlung an den 

Bcvor/.Ligre Signaturverfahren sind die iibiichen Digital anderen Rechner ert'olgf. 

Signatur AlgorithrTien (DSA). Hl-Ciaiual-Signatur-Vertah- Fij». 6 ist cin zu ciner bevor/.ugren Austuhrungslonn gc- 

rcn, Fiat-Sliaiuir-Protokolle, RSA-Vcrfahren bzw. Rivesr- tuiiB Fig. 5 /ugehoriges FlulMiagranini. 

Shamir-Adlcman-Verfahren und wSchnorr-Vcrfahren. Bei lo Fig. 7 /eigt eine wcitcre Aust'uhrungstortn dos erfin- 

Verwendung syrurHetrischer Verschlusselungsvert'ahren be- dungsgernaBen Datenert'assungsgcrates. das cine Riick- 

dienr sich die erHndungsgeriiaBe Aust'uhrungsfonii bevor- kopplung /.wischen deni angeschlossenen Computer und 

zugt einctu Blockchittre-Vertahren iiu CBC-Modus oder iiii derti Darenerfa^ssungsgeriit eniioglichr. 

CFB-Modus. Diese Verfahren. Methcnlen und Protokolle Fig. 8 isi ein zur Ausfuhrungstbrm geniiiB Fig. 7 zugeho- 

sind aus dein Stand der Technik hinreichend bekannt und 15 riges FluBdiagranini: und 

brauchen deshalb niclu eingehender edauterr werden. Fig. 9 stellt einen Computer dar. wie er zur Datenertas- 

[n eineiu bevorzugten Vert'ahren werden zumindest die sung- und Ubemiiitlung ini Stand der Technik veru'endet 

verwendetenSchlusselvoneinersicherenBeh6rdebzw.se- wird, wobei eine Zugangskontrolle vorgesehen ist. daiiiit 

cure-key-issuing-authority (SKIA; vergeben. der Coniputer nur von hierzu Berechtigten genutzt werden 

Autgrund der Verwendung solcher Verschlusselungs- und -O kann. 

Signaturvertahren ist dem Einpf anger von Daten vorteilhai:- 

terweise der Nachweis einer unberechtigten Manipulation Spezieller Beschreibungsteil 
der ubemiitrelten Daten tnoglich. 

Weil die bevorzugte Ausfuhrungsforni der Ertindung - je Fig. I zeigt eine erste Austuhrungstbnii eines Datenerfas- 

nach den einzuhaltenden Sicherheitsstandards - mehr oder 25 sungsgerates geiiiiiB der vorliegenden Ertindung. In seiner 

weniger aut'wendige Priit'schritte austuhrt, bei dem die Iden- eintachsten Grundforrn umtaBt dieses Datenerfassungsgerat 

rirat und/oder Berechligung des Benutzers iiberpruft wird, eine Datenert'assungseinheit (101), eine erste Identilikati- 

ist in Verbindung mit den oben genannten Verschlusselungs- onseinheit (i02), eine Datenverschlusselungseinheit (103) 

verfaiiren und/oder digiralen Signaturvertahren ein vorteil- und eine Daienubermittlijngseinheit (104), welche die Daten 

hatt hoher Sic he rhe its standard bei der Ubemiittlung von 30 an einen anderen Rechner ( AR, 106) iibennittelt, 

Daten gewahrleistet. Durch die besondere Ausbildung des Uin die Sicherheit zu erhbhen. werden gemtiB der Erfin- 

ertindungsgeniaBen Datenerfassungsgerates ist vorteilhaf- dung mogUchst alle wesentlichen Komponenten des Daten- 

terweise eine hohe Sicherheit bei der Date nert'assung sic her- erfassungsgeriites in eineni mechanisch siabilen und gesi- 

gestelU. chenen Gehause untergebracht. Um die Sicherheit gegen 

[ndem die Daten niit Hilfe eines benutzerspezifischen 35 Viren und andere Datennianipulationsmittel zu gewahrlei- 

Schliissels verschlusselt und/oder mit einer digitaien Signa- sten, fiihn das erfindungsgemdBe Datenert'assungsgerat vor- 

tur versehen werden. und die Daten soinit in einer bevorzug- zugsweise nur Prog rain man we is ungen aus, die sich auf ei- 

ten Aust'uhrungstonn nur in einer authendschen Darstellung nem Festwertspeicher (ROM) innerhalb des Gehiiuses betin- 

ubemiittelt werden, konnen die ubennittelien Daten voin den. Indent das Date nertassungsge rat vorzugsweise uber 

Emptanger vorreilhatierweise als rechtsverbindliche Daten -w keinen eigenen Schreib-Lese-Speicher(RAM) verfugt, kon- 

zur Tiitigung irgendeiner Art von Geschaften verwendet nen sich Manipulationsmittel zur Manipulation der Pro- 

werden. Unter einer authentischen Datendarstellung sei im grammanweisungen nicht im Datenert'assungsgerat bzw. in 

tolgenden stets eine Datendarstellung verstanden, die es ei- dessen Prozessor festsetzen, um so dessen Austuhrungen zu 

nem anderen Rechner eniidglicht testzustellen. von we I- manipulieren. 

cheni Benutzer die tibeniiittelten Daten zur Ubeniiittlung 45 Zur Datenerfassung dient die Datenerfassungseinheit 

autorisiert worden sind. (10 1). Hierbei handelt es sich bei einer Austiihrungstomi 

Die vorliegende Erfindung wird genauer mit Hilte der tbl- um eine herkommliche Dateneingabetastatur. Um die Lei- 

genden aust'uhrlichen Beschreibung und Bezugnahme auf stungstahigkeit des Datenerfassungsgerates jedoch zu erho- 

die beigefugien Figuren verstanden werden. Dabei werden hen, konnen erfindungsgemaB auch koniple.xere Datenein- 

weitere Aufgaben und Vorreile so wie Merkmale ersichtlich. 50 gabe- und Daienerfassungsverfaliren eingesetzt werden. wie 

Die beigetiigten Figuren, auf die in der Beschreibung Bezug etwa die Erfassung bewegter Bilder oder Standbiider mit 

genommen wird, stellen einige bevorzugte Austiihrungsfor- Hilfe einer Videokaiiiera, die Abtastung von Dokumenten 

men der Erhndung dar. Weder die Beschreibung noch die Fi- mit Hilfe eines Scanners, wobei die erfaBte optische Infor- 

guren sind jedoch nicht dahingehend auszulegen. daB die maiion zusatzlich auch mil Hilfe von Filterung bzw. opti- 

Ertindung auf diese spezitischen Austiihrungsfoniien be- 55 schen Buchstabenerkennungsverfahren (OCR) vorverarbei- 

grenzt wiire. f»it werden kann, oder die Erfassung akustischer Infoniiatio- 

nen einschlieBlich von Spracherkennungssystetnen, um den 

Figurenubersicht [nformationsgehalt der erfaBten Daten zu reduzieren. Damit 

die Datensicherheit jedoch gewahrleistet ist, werden die 

Fig. I zeigt eine erste Ausfiihrungsform des Daienerfas- 60 Programmanweisungen bevorzugt auf einem Festwertspei- 

sungsgcrates der vorliegenden Ertindung. welches die Daten cher (ROM) abgespeichert, der sich innerhalb des Gehiiuses 

dirckt an einen anderen Rechner ubennittelt. des Datenerfassungsgerates (100) betindet. 

Fig. 2 zeigt eine weitere Ausfiihrungsfonu des errin- Zum Zwecke der Datenerfassung kann auch ein enisprc- 

dungsgeujiiBen Datenerfassungsgerates. das cine Einheii zur chend ausgelegtes Peripheriegerat (PG. 107) an das Daten- 

Handhabung einer Chipkarte mit integrierieni Krypiochip 65 erfassungsgercit angeschlossen werden. 

umfaBi. Zur Verschlusselung und Transformation der Daten in 

Fig. 3 ist cin FluBdiagramm und zeigt eine einfache Be- eine auiheniische Datendarstellung verwendet die in Fig. I 

iricbswcise des erlindungsgemiiBcn Datenerfassungsgerli- ahgebildeie Ausfiihrungsfonu einen Duien prozessor, der 



spc/JclIc krvptii^:rapliischc Proiirainrnunweisuniicn aharhci- 
tct. Diescr Datenpro/essor kann jciloch aitcli ein handclsiib- 
I idler spczicll aus vie bi Merer Kn/proyraphiepro/.cssor sein, 
was Reclienzeit spart uhlI soiniti^lic Datenubennirrlunijiirate 
erholit. > 

Nach Verschlusseking der Daten \\\\ Kry prog raphie pro- 
cessor ( 103) werUen die Daten ruit Kilte einer iiblichen Da- 
tenubemiirtlungseinheit unter Verwendung iiblicher Daten- 
iibennirrlungsprotokolle an den anderen Rechner iibeniiit- 
telr. ^ I'J 

Urii die [denririit des Benurzers zu cmiirteln. verfiigt das 
Darenerfassungsgeriit iiber cine ersre [dentifikationseinheit 
( 102), bei der es sich bevorzugt, wie in Fig. 1 abgebildet, urn 
ein Geriit zur Handhabung von handelsLiblichen Smart 
Cards bzw. Chipkanen (108) handelt. Solche Chipkarten. 15 
die aus dem Stand der Technik hinreichend bekannt sind, 
vertugen zuiuindest iiber einen integrierten Festwerrspei- 
cher (109). in den ineisten Fallen jedoch auch ijber einen 
Prozessor (109), so daB die Abarbeitung eintacher Pro- 
graiuiiianvveisungen auch uninittelbar durch die Cliipkarte -O 
ertblgen kann. wobei sich die hierzu benotigten Program ni- 
anweisungen entweder im ROM des Datenerfassungsgera- 
tes Oder aber bevorzugt im Festwertspeicher (109) der Chip- 
karte (108) selbst betinden. 

In anderen Anwendungen, in denen beispielsweise die 25 
Bilddaten einer Uberwachungs-Videokainera oder eines 
eingescannten Textdokumentes in authentischer Fonn uber- 
niittelt werden sollen, genugt jedoch haufig auch eine einta- 
che Tastatur. Qber die ein Benutzerkennwon. Codierschlus- 
sel und dergleichen aut* Antbrderung durch die Identitikati- JO 
onseinheiceingegeben werden kann. Auch die oben genann- 
ten Datenertassungsmethoden konnen einzeln oder in Korn- 
bination zur Ermittlung der Benutzeridenticat verwendet 
werden. Der betriebene Aufwand zur Ennittlung der Benut- 
zeridentitat ist abhangig vom dem Sicherheitssrandard. den 
das System gewahrleisten soil. 

Zur Darstellung von eingegebenen bzw. ertaBten Daten 
vert'iigt des Datenertassungsgerat ubereine Darsrellungsein- 
richtung (110). die bevorzugt als ein LCD-Bildschimi aus- 
gebildet ist, oder aber als beriihrungsenipfindlicher Bild- 40 
schinn. so daB die Verwendung einer zusarzlichen Tastatur 
als Datenerfassungseinheit nicht ertorderlich ist. 

Die Dateniibenuittlung mit dem anderen Rechner ( AR. 
106) ertolgt in einer Einwegsbetriebsweise (111) oder in ei- 
ner Zweiwegbetriebsweise ( 112) iiber eine Datenleitung. die ^5 
Teil eines Computernetzwerks wie etwa einem lokalen 
Netzwerk (LAN) oder einein weitraumigen Netzwerk 
(WAN) oder des Internets ist. Dabei kommen Ubliche Daten- 
transterprotokoUe zum Einsatz. wie etwa Ethernet. Local 
Talk, FTP (tile transfer protocol) oder dergleichen. die aus 50 
dem Stand der Technik hinreichend bekannt sind und des- 
halb hier nicht eingehend erliiuteri zu werden brauchen. Die 
Datenubenuittlung ertolgt bei einer anderen Ausfiihrungs- 
rbnu iiber drahtlose Telekommunikation in einem iiblichen 
Datentbnuat ertolgen. Eine weitere vorgesehene Art der Da- 55 
reniibennitilung ist die Speicherung der Daten auf einem 
magnetischen oder opt ischen Datenspeichenuedium und die 
Ubet^abe dieses Datenspeichermediums an den anderen 
Rechner. 

Fig. 2 zcigt eine weitere Austuhrungstonii des errtn- Ca^ 
dungsgemiiBen Datenertassungsgeriites. das eine Einheii zur 
Handhabung einer Chipkarte mit integriertetu Kryptochip 
umtaBt. 

Sotem dicse Figur die gleichen Bezugszeichen wie in 
Fij». I cnihalt, sind damit auch die gleichen Einhciicn ge- 
meini. Im Gegensatz zur Austuhmngstonn gemuB Fig. I 
cm halt dieses Darenertassungsgeriit jedoch kcincn eigcnen 
fCrypio- b/w. Vcnichlussclungspro/.essor. 
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Zur VcrschliisNclung dicnr vichiichrdic v^m cifitni Bcrnit- 
/cr cin/.utiihrcnde Chipkarte (208). die ncbcn cincni 1-csr- 
wertspeicher ( ROM), der bcnutzerspe/ilischc Daren cnthalt. 
auch einen Vcrschlusselungspro/xssor (209) unitaBr. Zu- 
siitzlich kann sich aut dieser Chipkarte auch ein gewohnli- 
cher Prozessor zur Durchfuhmng des unren beschriebencn 
crfindungsgemiiL^en Vert'ahrens betinden. 

Alle Daten. die von der Datenertassungseinheit b/.w. von 
dem Peripheriegerar fP(,!) crfaBt worden sind. werden iiber 
einen zentralen Bus (213) an tlen Prozessor bzw. den Vcr- 
schliisselungsprozessor der Chipkarte iibemiiftelt. Nach 
Verschliisselung bzw. Transtbn nation in eine au then rise he 
Darstellung getangen die Daten zur Obeniiittlungseinheir, 
die diese dann wie vorgenannt beschrieben an den anderen 
Rechner iibeniiittelt. 

Fig. 3 ist ein FluBdiagranim und zeigt eine einfache Be- 
triebsweise des ertindungsgemaBen Datenerfassungsgera- 
tes, 

Vor Hingabe bzw. Erfassung der Daten oder zurnindesi 
vor deren Ubennitilung an den an das Datenertassungsgerat 
angeschlossenen Computer ertolgt die Oberpriifung t302) 
der [dentitat des Benutzers. 

Je nach dem [n format ionsge halt der dem Datenertas- 
sungsgerat zur Vert'ugung srehenden benutzerspezitischen 
Daten konnen hierbei verschiedene Vorgehensweisen vorge- 
nommen werden. 

Bei einer Aust'iihrungstbrni. der keine oder nur sehr etn- 
geschrankt benutzerspeziftsche VergLeichs- bzw. Reterenz- 
daten zur Verfiigung stehen, wird dem Datenertassungsgerat 
von dem anderen Rechner ein tester ott*enrlicher Schlussel 
zur Verfiigung gestellt, sobald das Datenerfassungsgerat 
teststeih. daB ein Benutzer die Ubemiittlung von Daten an- 
fordert. AnschlieBend fordert- das- Datenerfassungsgerat 
den Benutzer auf, Identifikationsdaten einzugeben. Dabei 
kann es sich im einfachsten Fall uin personenspezifische 
Identifikationsnummem (PIN) und/oder Transaktionsakti- 
onsnummern (TAN) oder andere alphanumerische Zeichen- 
folgen handeln. die iiber eine Datentastatur bzw. iiber die 
Dacenerfassungseinheit des Datenerfassungsgerates einzu- 
geben sind. 

Fiir hohere Sicherheitsanforderungen ist jedoch ein gro- 
Berer Enfonnationsgehalt der Identitikationsdaten von Vor- 
teil. Hierzu wird in einer bevorzugten Austuhrungstonii der 
vorliegenden Ertindung eine Chipkarte verwendet. deren 
benutzerspezitischen Daten mit vom Benutzer einzugeben- 
den alphanumerischen Zeichenkombinationen verglichen 
werden. 

Bei einer weireren bevorzugten A us fuh rungs form werden 
zusiitzlich als Identitikationsdaten biometrische Daren er- 
faBt. die von korperlichen Merkmalen und/oder Eigenschaf- 
ten des Benutzers abgeleitet werden. Hierbei handeU es sich 
urn einen oder mehrere Fingerabdriicke. der bzw. die von ei- 
nem Fingerprintscanner erfaBt werden, oder urn einen Scan- 
ner zum Abiasten der Netzhaut bzw. des Augenhinrergrun- 
des des Benutzers. oder um einen Sprachanalysator. der ein 
Sprachprotil des Benutzers enuitielt. Durch Vergleich dieser 
biometrischen Daten mit benutzerspezitischen Daten kann 
die [dentitat des Benutzers sehr zuverlassig enuitielt wer- 
den. Dieser Vergleich kann sowohl im Datenerfassungsgerat 
selbst bzw. seinem Chipkartenlesegerat ertolgen oiler aber 
im anderen Rechner. Im lerztgenannren Fall miissen die er- 
faBten tdentihkationsdaten bzw. die biometrischen Daten 
mit Hilfe des of fen t lichen Schliissels verse hlusse It und an 
lien anderen Rechner iibermittelt werden. 

Der andere Rechner entschliisselt die ankommenden Da- 
ren mir Hilfe des zugehorigen geheiruen Schliissels und 
niriimr den Vergleich der ankommenden Idenrihkarionsda- - 
ren mit benurzerspe/itisclwn Rcferen/daten. die etwa einer 
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Datcnhank cntnommen ucnlcn, \or. N;tch crtoliirciciicrn 
Vcr^leich iichl ttas DatencrtLissLinysyerdi in scinen auilicnti- 
schcn Bcrriebs/ustand iibcr. [n iliescin Berricbszusrand wcr- 
den allc Daren, die das Darenertassun^sgerat verlassen. nur 
in verschliisselter Fonii und nach ciigiialer Unrersclirit't ^ 
iibenuitrelt (304, 305). Optional kann uhcrprut't werden, ob 
eine Bciriebsstorung vorliegt (305), worauthin das Darener- 
t'assungsgerai in seinen Klartexr-Betriebszustand zuriick- 
kehrt, in dem die Daten nur unvcrschlusselt iibenninelt wer- 
den (303). i'^ 

Zur Verschliisselung dcr Daten iiiuG dem Datenerfas- 
sungsgeriit voru anderen Rechner ein benutzerspezihscher 
otYenrlicher Schliissel iibergeben werden. Alle zu Qberrnit- 
relnden Daten werden niit diesein Schliissel verschlusselt 
und tuit einer digitaien Unterschrift versehen. i5 

Soniit konnen die ubertragenen Daten eindeutig eineru 
berechtigten Benutzer zugeordner werden. und weil die Da- 
ten vor der Uberrnittlung luic einer digitaien Unrerschrit't 
versehen worden sind. kann eine unberechtigte Manipula- 
tion der Daten wahrend der Ubenuittiung zum anderen -0 
Rechner entdeckt werden. 

In einer anderen bevorzugten Austuhrungsfonn stehen 
deni Datenerfassungsgerat zur Uberpriifung der Benutzeri- 
dentitat umt'angreichere benutzerspezifische Referenzdaten 
zur Vertugung, etwa deswegen. weil der Benutzer vor Erfas- 25 
sung weuerer [dentifikationsdaten eine Chipkane in das 
Chipkanenlesegerat des Datenertassungsgeriites einfiihren 
iiiulS. Die im ROM der Chipkarte abgespeicherten benutzer- 
spezifischen Daten lassen einen "zeroknowledge" Beweis 
der Benutzeridentitat zu, also einen Beweis, zu deni das Da- 30 
tenerfassungsgerat nicht noch zusatzliche benutzerspezifi- 
sche Referenzdaten benotigt, die ihm etwa von dem anderen 
Rechner zur Vertugung gestellt werden mussen. Zur Ober- 
priitung der Benutzeridentitat werden die ert'aBten Tdentifi- 
kationsdaten und die benutzerspezifischen Referenzdaten 35 
unniittelbar voni Chipkanenlesegerat oder aber im Prozes- 
sor der Chipkarte iiiiteinander verglichen. 

[st diese Uberpriifung erfolgreich, so wird der Verschliis- 
selungseinheit (304) des Datenertassungsgeriites geniaB 
Fig. T der benutzerspezifische oftentliche SchlUssel (PK) 40 
iibergeben. Bei einem Datenerfassungsgerat gemaG Fig, 2 
braucht der otYentliche Schlussel solange nicht an weitere 
Einheilen des Datenverarbeitungsgerates weitergereicht 
werden, solange dieses nur in einer Einweg-Betriebsweise 
betrieben wird. in der das Datenerfassungsgerat Daten. die 45 
in dem fCryptochip der Chipkarte verschlusselt werden. nur 
an den anderen Rechner ubermittelt. Dadurch wird die Si- 
cherheit des Date nerfassungsge rates zusatzlich erhoht. 

Soil das Datenerfassungsgerat jedoch zusatzlich auch in 
einer Zweiweg-Betriebsweise betrieben werden, in der das 50 
Datenerfassungsgerat luit dem benutzerspezifischen gehei- 
men Schlussel verschliisselte Anweisungen oder Daten von 
dem anderen Rechner verwerten soil, so muB der Ver- bzw. 
Entschliisselungseinheit des Datenerfassungsgeraies der be- 
nutzerspezifische offentliche Schliissel. der sich auf der 55 
Chipkarte befindet. ubergeben werden. 

War die Uberpriifung der Benutzeridentitat in Schriit 302 
nicht erfolgreich. so bleibt das Datenerfassungsgerat im 
Klartext-Betriebszustand. so daB die Ubenuittiung der Da- 
ten sowohl an den anderen Rechner nur unverschliissell er- 60 
folgt. 

Fig. 4 siellt ein Zusiandsubergangsdiagramm des crrtn- 
LlungsgemiiBen Datenerfassungsgeraies dar. Hierbei sei das 
Beispicl betrachiet. duB ein Bankkunde Daten zu einem 
Rechner ubenuitteln wilt. Unter Rechner sei in diescm Bci- 65 
spiel dor Zugangsrechner einer Bunk versianden, der mit 
dem crfindungsgemiiBen Datenerfassungsgerat iiher cine 
Datenleiiuni; in Vcrbindum: stehe. Bei ilem Dalcncrfas- 



970 A I 

# K) 

sungsgcrai konntees sich luii cincn Bankaui^Mitatcn " ulcrciri 
System /ur Durchfiihrung von Iclchanking handcln. 

Das hierzu verwendeie erfinilung.sgcmiiBc Datenerfas- 
sungsgerat verfuge als Darencrfassungseinheit iiher eine iih- 
liche Tasiatur und als ersrc klcnrifikaiionseinheit iiher einen 
Chipkartenleser. Minzu komrne ein Biklschimi /.ur Darsicl- 
lung der Daten, bei denen es sich in dieseru Beispicl um cin- 
fache alphanumerische Zeichen. wie etwa Kundennanic, 
Bankkontonummer otler Bankleitzahl handelt. Der Bank- 
kunde verfiige iibereine Chipkarte. die zumindest benuizcr- 
spezifisclie Daten enrhcilt, damit das Chipkanenlesegerat ei- 
nen zero-knowledge Beweis der Benutzeridentitat durcli- 
fiihren kann. Die Chipkarte kann zusatzlich auch den priva- 
ten Schlussel (SK) und/oder den offentlichen Schlussel (PK) 
enthalten. ttie als Grundlage fur ein asymmetrisches Ver- 
se hi usse lungs verf ah re n verwendet werden konnen. 

Solange der Kunde die Chipkarte nicht eingefiihrt hat 
(401), erfolgt die Uberrnittlung der voni Kunden eingegehe- 
nen Daten vom Datenerfassungsgerat zum anderen Rechner 
un verschlusselt (402), wie durch die Schleife bei (402) an- 
gedeutet. Dieser Datenverkehr kann ohne Probleme von Un- 
befugten belauscht und zu dessen Vbrteil manipuliert wer- 
den. Legt der Benutzer nun die Karte ein (403). so erfolgt 
zuniichst die Uberpriifung der Benutzeridentitat (404) und 
ggf. auch die Uberpriifung der Gultigkeit der Chipkarte. Bei 
negativem Ergebnis dieses Uberprufung (405) erfolgt der 
Auswurf der Karte und das Datenerfassungsgerat nimtut 
wieder seinen Klanext-Betrieb auf. 

Bei positivem Ergebnis der Uberprufung geht das Daten- 
erfassungsgerat in den authentischen Betrieb iiber (407). in 
dem alle das Datenerfassungsgerat verlassenden Daten nur 
in einer authentischen Datendarstellung iibenuittek werden. 
Weil anhand der authentischen Daten vom anderen Rechner 
festgestellt werden kann. ob die Daten wahrend der Uber- 
rnittlung manipuliert worden sind, konnen die so iibermiitel- 
ten Daten als echt betrachtet werden. 

Falls das Datenerfassungsgerat unniittelbar mit dem Zu- 
gangsrechner der Bank kommuniziert. so benotigt das Da- 
tenerfassungsgerat zur Verschliisselung einen offentlichen 
Schliissel (PK). Dieser kann dem Datenerfassungsgerat von 
der Chipkane zur Verfiigung gestellt werden. Er kann dem 
Datenerfassungsgerat jedoch auch von dem Bankrechner 
zur Verfiigung gestellt werden. nachdem dieser von der po- 
sitiven Uberprufung der Benutzeridentitat infonuiert wor- 
den ist. 

Solange keine Betriebsstorung erfolgt, werden die Daten 
nur in authentischer Fonu an den Rechner iibemiiitelt. Er- 
folgt jedoch eine Betriebsstorung (409). wie etwa eine Un- 
terbrechung der Kommunikation. oder beendet der Bank- 
kunde die Konununikation, so erfolgt der Auswurf der 
Chipkarte und der Rechner kehrt wieder in seine Klanext- 
Betriebsweise zurtick. 

Fig. 5 zeigt eine bevorzugte Ausfuhrungsform des crfin- 
dungsgemiiBen Datenerfassungsgeraies, 

Haufig ist es bei sensiblen Daten erfoaierlich. daB Daten. 
die ein Benutzer uber eine Tastatur eingibt oder die in einer 
der oben genannten Weisen von einer Datenerfassungsein- 
heit erfaBt wurden. iiber einen Computer an einen anderen 
Rechner iibenuittelt werden sollen. Eine typisclie Anwen- 
dung konnte die Tiitigung einer Uberweisung vom PC eines 
Bankkunden aus sein, der iiber eine Daten verbindung wie 
z. B. dem Internet mit dem Zugangsrechner einer Bank ver- 
bunden ist. Eine weitere bevorzugte Anwendung ist die au- 
theniische Ubenuittiung von Bild und/oder To nda ten von ei- 
nem PC bzw. client innerhalb eines Coniputemetzwcrks zu 
einem anderen PC. der ein client oder ein server sein kann. 
Dieses Computernetzwerk konnte das [ntemet sein oiler 
aber ein Intranet eines Untemehmens. 
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Fici scnsiblcn Dafen M.^llrc os Ulmii Liiulorcn Kcclincr 
lich sfin /u cnu it rein, a) von wdchcm licniir/cr dcs ( \>m pu- 
re rs die Date niihennirr lung auti^risierr worden isr urKl/odcr 
b) ob die Daren wiihrend vler Ubennirrlung niunipulierr wor- 
den sind. Hier/u isr eine Ubennitrlung der Daien in eineiii 
aurhentisehen Foniiat ertorderlich. 

Weil jedoch der Coinpurer (500) iiber^las iVet/(504) von 
auBen her zuganglich isr und iiber einen nianipulierbaren 
Speicherbereicb verfugr. konnre tier Benur/er des (oriipu- 
rcrs die Uberruitrlung von Daren A autorisieren untl diese lO 
noch innerhalb des Coniputers in Daren B von eineiu Vims 
Oder dergleichen unigewandelr werden. ohne dal3 der Benur- 
zer dies bemerkt. Dieses Problem la(3r sich durcli ein ertin- 
dungsgemaBe Darenerfassungsgerat beheben. ilas an den 
unsicheren Computer angeschlossen ist. i5 

Hierzu isr bei der in Fig. 5 gezeigren Austuhrungst'onu 
ein Dare nertassungsge rat (100: 200) vorgesehen, welches 
a Is ersre Idenrifikarionseinheit Liber einen Chipkctrtenleser 
und ais zweite Identitikationseinheit iiber einen Finger- 
printscanner verfiigt. Das Darenerfassungsgerar besitzr ei- -O 
nen Bus (502) zur Koitimunikation niit deni Cotuputer (500) 
und oprional auch Liber einen DareneingangsanschluB zur 
Entgegennahrue von Daren eines Peri pheriege rates (PGV 

Die Obermirtlung der Daren ert'olgt sowohl uber den Bus 
(502) als auch iiber das Netz (504) in authentischer Daren- IS 
darstellung. Zur Verse hlusselung und Enrschlusselung iru 
Datenerfassungsgerac dient entweder der Kryptographiechip 
auf der von deni Benutzer einzut'uhrenden Chipkane oder 
aber eine VerschlUsselungseinheit. Auch der Compurer und 
der Rechner benotigen eine Ver- und Enrschlusselungsein- JO 
heit (503: 505). die sich auf einer Einschubkarte betinden 
kann oder aber bevorzugt in einem spezielien Krvptogra- 
phiechip. 

Fig. 6 ist ein zu einer bevorzugren Austuhrungsfomi ge- 
mal3 Fig. 5 zugehoriges FluBdiagramni. 

Vor Eingabe bzw. Ert'assung der Daren oder zuniindest 
vor deren Ubemiialung an den an das Datenerfassungsgerac 
angeschlossenen Computer erfolgt die Uberpriifung (602) 
der Edenrirar des Benutzers. Isr diese Uberprut'ung ertblg- 
reich, so wird der VerschlLisselungseinheir (503) des Com- -uj 
puters der benutzerspezifische ottentliche Schlussel (PK) 
Libergeben. Dieser behndet sich entweder aut'dem Fesrwerr- 
speicher (ROM) der Chipkarte oder wird der VerschlLissel- 
ungseinheir von dem anderen Rechner zur Verfugung ge- 
s re lit. Falls die Verschlusselung der Daten in der Verschliis- 45 
selungseinheit des Darenert'assungsgeraies erfolgr, so wird 
ihr hierzu der geheime Schlussel (SK) iibetpeben, der sich 
auf dem ROM der Chipkane behndet. Falls die Verschlusse- 
lung der Daten hingegen - wie in der Aust'uhrungstbnu ge- 
ruaB Fig. 2 - auf dem Kryprochip der Chipkarre ert'olgt, so 5<> 
benotigr das Datenerfassungsgerat den geheimen SchlUssel 
(SK) nurdnnn. wenn es Daren, die von tlem Computer zurn 
Darcnerfassungsgertir in verschlLisseUer Form Libennitrelt 
werden. wieder entschltisseln muLv 

Anschlieliend werden die Daren mit Hilfe des geheimen Si 
Schliissel (SK) iiii Datenerfassungsgerat verschliisselt, mir 
einer digiralen Unrerschrift versehen (604) und an den Com- 
purer iibennittelt (605). Falls ein Anwendungsprogramm, 
das auf deni Computer vies Benutzers betrieben wird. die 
Daren weiterverarbeiten soil (Uberprtifung in Schritr 606). <^<) 
so erfolgt zuniichst die Eintschliisselung der Daien (607) mit 
liilfe des oft en t lichen Schlussels. Nach der Wcitcrvcrarbci- 
tung der Daten (60S) wcnlcn die Daten cmeiit mil Ililfe vies 
ol'fen I lichen Schlussels verschliisselt und mit einer digiialcn 
Unierschrift versehen (609). Vor der Ubermiitlung vlcr Da- 
ten (610) an vlen ancle re n Reciiner kann optional cine Ab- 
frage erfolgen. ob eine Betriebsslorung vortiegt. wic ciwa 
cine Storun^ auf iler (jberirauuniisleituni: vxlerein I 'eiiler im 



Chipkarrcnlcscgcriit. Sollic eine lU-tricbsstorung vnrlicgcn. 
sv.> crt'olgr entweder wie im allgcmeinen /usrandsiiber- 
gungsdiagramm in Fig. 4 vlargestcllt ein vo Niger Abbnich 
iter Daten iibcrmirt lung v.nler aber cine f jbennittlung vler Da- 
ten in unverschliisselrer I'onu (613). 

War hingegen die (jberprufung der Benut/.eriileniitai in 
Sc hrirr 602 nichr ertV^lgreich. m> bleibt vlas Darenerfassungs- 
gerar im Klarrexr-Berriebszusrand. so vlaB die (Jbermitrlung 
der Daten sow*.Mil an den Compurer (612) als auch an den 
anderen Rechner (613) unversclilLisselt erfolgt. 

Fig. 7 zeigt eine weltere Ausfuhrungsform des crfin- 
vUingsgemaBen Datenerfassungsgeriites, vlas eine RLick- 
kopplung zwisclien dem angeschlossenen Computer und 
item Datenerfassungsgerat entioglicht. Diese Ruckkopplung 
gewiihrleisfet. da6 der Benutzer die Daren vor Fhrer Uber- 
niittlung von dem Computer zu vlerii anderen Rechner auf ei- 
nem Bildschinii des Date nertassungsge rats nochmals Liber- 
priifen kann. Stinuuen diese Daten tnit denjenigen Daren 
iiberein. die von liem Datenerfassungsgerat oder einem Peri- 
pheriegerat (PG) erfaBr. von dem Benutzer eingegeben oder 
von viiesem in einem Anwendungsprograitim ausgewahlt 
worden sinvl, so autorisiert der Benutzer die Ubennitrlung 
tier Daten. Weil das Datenerfassungsgerat sicher isr und eine 
nachtragliche Manipulation der mit einer digiralen Unter- 
schrift versehenen authentischen Daten moglich isr. isr si- 
chergestellt, dal5 die am anderen Rechner ankomnienden 
Daten vom Benutzer abgesendet worden sind. Diese Daren 
konnen von dem anderen Rechner soiiiit als rechtsverbindli- 
che Grundlage fiir die Tiitigung von Rechtsgeschafien ver- 
wendet werden. 

Die in Fig. 7 angefiihrten Bezugszeichen, die mit denjeni- 
gen aus Fig. 5 Libereinstiinmen, wurden bereits im Zusani- 
menhang mit Fig. 5 erlautert. Zusatzlich verfugt das Daten- 
erfassungsgerat dieser weiteren Ausfiihrungsfonu iiber eine 
Datendarstellungseinheit (711), die vorzugsweise ein LCD- 
Bildschinn oder ein beriihrungseniprtndlicher bzw. Touch- 
Screen ist. Die Daten werden zum Zwecke der Autorisie- 
rung ihrer Ubermittlung von dem Compurer (500) zu dem 
Datenerfassungsgerat (100: 200) uber eine Verbindung 
(710) ebenfalls in authentischer Fonn zuriickuberniittelt. 
Verbindung 710 kann mit Verbindung 502 Libereinsritiimen. 
Zusatzlich kann das Datenerfassungsgerat iiber eine geson- 
derte Bestiitigungstaste (712) zur Autorisierung der Daten- 
iibermittlung vertligen. 

Bezugszeichen 707 stellt eine Dateneingabemaske. wie 
etwa eine [nternet-Webseite oder dergleichen dar, in dessen 
html-Fonuular der Benutzer Daten einrragen soil. Eine wei- 
tere Moglichkeit isr die Auswahl von Daten aus einem Menii 
(708). etwa durch Zeigen und Auswahlen tnittels einer 
Coruputermaus (709). 

Fig. 8 ist ein zur Ausfiihrungsfonu gemiiB Fig. 7 zugeho- 
riges Flul3tliagramm. Dieses FluLuliagramm setzt den Be- 
triebsablauf aus Fig. 6 ab Schritr 603 fort. 

Zur Obenuittlung der Daten an den Computer vvervien 
vliese mit Hilfe des benutzerspezirtschen geheimen Schliis- 
sels verschliisselt. mit einer digit alen Unterschrift versehen 
(H02). AnschlieBend erfolgt die Obenuittlung (K03) an den 
Cotuputer in authentischer Form. Dieser verarbeitet vlie 
cmpfangenen Daten welter (805). wobei dem Verarbei- 
tungsschritt analog zu dem Schritten 607 in Fig. 6 eine Ent- 
schliissclung der Daren (804) vorangeht bzw. eine Ver- 
schlusselung iler Daten folgt (806), AnschlicL^end werden 
die Daten wictler in authentischer Form an das Datenerfas- 
sungsgerat iibentuitelt (807). wo zuntichst die EntschlLisse- 
lung vler Daten ert'olgt (808). 

AnsclilieL>enit wird vler Benutzer au fgeforde rt. die Uber- 
mittlung vler so an *.las Datenerfassungsgerat Libenniiteltcn 
Daicn /XI autorisieren (809). Hier/.u wervlen ilie zu iibenuit- 
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tclrulcn Daren aiit Jcr Dutcndarsiclluni^scinrichtudi; (711) 
ilariicsrcllt. Zur Auiorisicrung bctiiiigt tier Ucnur/cr cnrwe- 
(.ler cine separate Bcstatigungstastc (712) otlcr cr hciiiriiit 
oinc lasre wic /„ B. ^Ite "lintcr"-'I'astc cincr ubliclicn Tasta- 
tur. 

fn eincr Austuhrungstonu vcrtiiiit ilas Daienerfassungs- 
iierar Qberoinen Purterspeichen derdie ertaLJfen Daren zwi- 
schenspeichert. Bevor/Uijt werden in den Put't'erspeiclier Ta- 
srariireini!abedaten ^egeben. Bei einer Anwentlung. bei wel- 
olier der Benurzer Daren in eine Eingabeniaske eingeben HJ 
tULiL^. indern er bei spiels we ise einen F'onuulareinrrag in ei- 
ner htud-Webseite vominirut, werden die so eingegebenen 
und votn ConipLiter in die Eingabeuiaske eingeserzren Daren 
liber die Verbindung (710) an das Daienertassungsgerat /m- 
riickubeniiittelr. Start diese Daren nun aut deni Bildschinn I5 
darzusrellen, konnen die zuriickiibenuittelten Daren auch 
unniitrelbar niit den iiu PutYerspeicher zwiscliengespeiclier- 
ren Daren verg lichen werden. 1st der Vergleich ertblgreich, 
so enrspricht dies einer Aiirorisierung der Obeniiirtlung 
durch den Benurzer (809). ^ " 

AnschlielSend werden die Daren irii Dare nertassungsge rat 
wieder verschliisselr (810) und in authentischer DarsrelUmg 
an den Conipurer und von diesetu an den anderen Rechner 
Libennitrelt (811). Optional kann wieder eine Uberpriitung 
iiu Hinblick aut' etwaige Berriebssrorungen ertolgen, was 25 
zuni Abbruch der Ubermitrlung und zuni Lfber^ang in die 
Klanext-Betriebsweise des Darenertassungsge rates (612) 
tuhrr.. 

Soriiit ist ein Verfahren und eine Vorrichtung zur Ertas- 
sung von Daten und deren Ubemiirrlung in authentischer 
Form getunden worden, Somit kann ein grofStnidglicher Si- 
cherheitssrandard bei der Ertassung von Daten und deren 
Obeniiirtlung gewahrleisret werden. Die uberniittelten Da- 
ren konnen aut'grund des vorreilhat't hohen Sicherheirsstan- 
dards insbesondere als rechtsverbindliohe Grundlage fur die 
Tatigung von Geschaften jedwelcher Art oder als authenti- 
scher bzw. glaubwurdiger Nachweis von Dokuiiienten oder 
Ereignissen, die von den Daren dargesrellr werden. 

Uiu die Erfindung noch unifassender aufzuzeigen, wer- 
den zusiitzlich noch tblgende zwei Varianren anget'iihrt und 4() 
ein weireres konkreres Austuhrungsbeispiel angegeben: 

I Einfiihrung 

Elekrronische Medien gewinnen gegenwarrig zunehmend -^s 
eine wesenrliche Bedeutung ini Rahniender [ntbriuarionsre- 
prasentanz und Koiiitnunikarion der Menschen. Diese Tech- 
nik zeichnet sich durch groBe Flexibilitat, [ntbniiationsviel- 
t'alt, hohe Akrualirtit und Geschwindigkeit sowie relativ ein- 
tache Vertugbarkeir aus. 

Aufgrund der Archirekrur und riuplenienrierung der 
Transporrprorokolle werden derzeir ott'enrlich zugang lichen 
Cotupuremetzwerke in der Regel nur zum ott'enen Intonua- 
rionsausrausch genutzt werden. Da sich jeder t'ur Jeden aus- 
geben kann und die durch die Netze rransporrierten Daten 55 
sehr eintach durch dritte unrechiniaBig verandert werden 
konnen. bleibt esden Anwendem versagt rechtsverbindliche 
Dokuruente auszutauschen. 

Uiu Geschat're Liber das Netz tarigen zu konnen, isr cs nor- 
wendig Liber eine Technik zu verfCigen. tuir der die Aurhen- 6<» 
rizirat der ert'aBten und ubenuittelren Daten nachgewiescn 
werden kann. Das bedeuter, dal3 man in der Lage ist. die 
Fferkunfr und Unvertalschrheir eines elektronischen Doku- 
ment nachweiscn zu konnen. 

2 Gegenstand ilcr zu schiitzenclen Mcc 

Grundidee ist. Daien bei ihrem digitalcn Hnistciiungspro- 
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/.cG - bei ihrcr Ivrtassung - /,u hxiereii. Das stMl durch l^a- 
leiierfassungsgerare (wie /.. B. Tasiaiurcn, Scanner. Karren- 
leser wyn /.ugangskontroltsysrcmen usw.) von Rcchnersv- 
stciuen bewerksteiligr werden, die durch krypiographische 
Vertahren die Durstellung der Daten ilerarr urn warn ieln. so 
daB die Authenrizirat dererfaBren Daren nacligewiesen wer- 
den kann. Vorreil dieses Ansarzes isr es. daB die ( rerate. die ' 
Daren iibenuirrein nichr norwemliger Weise sicher sein riais- 
sen, damir der Nachweis der Authenrizirat getiihrr werden 
kann. Sicher niuB das DatenertassungsgerLir uml the Verar- 
beirungseinheir sein, aut' der Nachweise der Aurhenrizitar 
getiihrr wird. 

3 Zielsetzung 

Bereitstellung aurhen rise her Daren durch ein Darenerfas- 
sungsgerar die eindeurig einer Person zugeordnet werden 
konnen. Die durch das Gerat ert'aBre Daren werden tturch 
kryprographische Vert'ahren im Darenertassungsgerat trans- 
tbniiierr. Die kryprographisch modifizierre Darendarsrel- 
lung wird an andere Gerate oder Verarbeitungseinheiten 
weirergegeben. Durch die umgewandelre Darsrellung der 
Daren isr es rnoglich: 

- eine Veranderung an den voni Darenertassungsgerat 
Libergebenen Daren testzusrellen 

- die Daren einer Person und/oder dern Darenertas- 
sungsgerat eindeurig zuzuordnen. 



4 rechnische Realisierung 

Das Darenertassungsgerat z. B. Tasrarur besirzr neben den 
technischen Vorrichtungen zum Erfassen der Daten 

1. eine Einheit. uni die benutzerspezifischeri Daren 
(BenutzerschlQssel) entgegen zu nehrnen und oprional 
aut' ihre RechrmaBigkeit zu priifen z. B. Chipkarrenle- 
ser und (oprional) Fingerprinrscanner. 

2. eine passive oder akrive VerschlUsselungseinheit 
(Firmware iiiit Ve rsc h liisse lung sal god th men oder Ver- 
schlusselungshardware). 

3. optional: eine Weltweit eindeutige Identirat luit ei- 
nem unveranderbaren Zeireinheirenmesser 

Die genannren Einheiten konnen luireinander und/oder 
mir dem Darenertassungsgerat unrrennbar oder rrennbar ver- 
bunden sein. Fiir groBtmogliche Sicherheir erscheinr es Je- 
doch sinnvoll alle Komponenten untrennbar in einem Ge- 
hiiuse unrerzubringen. 

Das Gerat oder die Verarbeirungseinheit, die die Daten 
des Datenerfassungsgertites erhalt besitzt einen speziellen 
Treiber, der 

1. die Daten wieder in eine Klartextdarstellung (verar- 
beitbare Darstellung) zuriicktranstonuierr. 

2. (optional) einen Darenausrausch mit dem Darener- 
tassungsgerar ernioglichr, durch den eine Assoziierung 
der eingelesenen Daren und Daren von der Verarbei- 
runiiseinheit durch die VerschiCisselunaseinheir eniiog- 
licht. 



5 Funktionsweise (am Beispiel einer Tastatur) 

Der Bediener sreckt seine Chipkane (Triiger seines spezi- 
lischen Ciehcimnisses) in den Karrenleser der Tasrarur 
(konnte be is pie Is weise auch nur ein PaBworr eingeben. ist 



DE 197 03 970 A I 



15 



uber rclutiv Linsicher). l^ic [asmtiir scnJcr tiaraullun iiur 
nocli verschlussclre Datcn un Ucn Rcclinor. Dor '('usraiurrroi- 
her enrsc'lilussclr die crhaltcncn Datcn und stcllr je nach An- 
t'ordcruni: tlic autlienrischc »>tlcr Klaricxt version /.ur Vcrfu- 
tiung. 

Bci Anwendungen kann der Beilart hcstchcn. Datcn von 
Anwendungsprograninicn mil dcti Bcnur/ercingaben zu as- 
soziieren. Dazu rnuB die Applikaiion derii Hingahegcrat 
seine Integriiat nachweisen. Lst der Be we is erfolgrcich, 
ubergibt die Anwendung (.lent Tasiaiurtreiber die zu assozi- 
ierenden Daren verse hi usselr. Die Daten werden durch den 
Treiber an das Duteneingabegeriit weitergeleiret. das durch 
seine Verschlusselungseinheit die Anwendungsdaten niir 
den voin ihiii ertaBten Daten assoziien. Lsr keine Karre ein- 
gelegr. so tunktioniert die Tastatur wie eine gewohnliche. 

5.1 AUgeitieine Funktionsniodie tur Darenertassungsgerate 
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sehninsiellen /.wisehen Menseh iind Systenieinhcit /Ltriick- 
/.Litiiliren. Der Hrt'olg cines Progranims hiingt niclir niir vorn 
Lcistungsunit'ang seiner Funktii^nen ab. sondem /unehriicnd 
audi vom Schniiisrellendesign und der FFandhabbarkeit, Gut 

5 gestaltete Benut/.eroberrtiichen zeichnen sieh durcli intui- 
live. schnelle und vor allein sichere Bedienbarkeit aus. Dazu 
zahlt insbesondere. daG die Eingabeniasken nur sinnvollc 
Hingaben zulassen und den Anwender von Tippurbeit durch 
enrsprechende Auswahlangebote endasren. 

10 Der beschriebene Ansatz zurii autheniischen Ausiausch 
von Daten iiber otYene Korumunikarions- und Datenneize 
geht davon aus, da(3 die Daten. deren Authentizirat nach- 
weisbar sein sollen. iiber die enrsprechenden sicheren Ein- 
gabegertite ert'aBr sein in us sen. Es isr deni Anwender also 

i.^ nicht ruoglich. bereits verfugbare Daten auszuwiihlen und 
deren Authentizirat sicherzustellen. Das in dieseiu Text be- 
schriebene Gerat soil diesen iMan^el besei risen. 



1. Das Gerat lieferr nur kryprische Daten wenn ein be- 
nurzerspezirtsches Geheinmis vorliegr. sonst nonuale -O 
Daten. Anwendung bei z. B. Scanner. Tasratur, Karren- 
leser bei ZugangskontrolLsysremen (Zeitwirtschafr. 
Objektschutz uswj 

2. Das Gerat liet'ert immer kryprische Daren ob ein Be- 
nutzergeheininis vorliegt oder nicht. Anwendung bei 25 
z. B. FCartenleser bei Zugangskontrollsystenien (Zeit- 
wirtschaft, Objektschutz usw.) 

3. Das Gerat lietert nur Daten f kryprisch oder noriiiai ). 
wenn ein Benurzergeheiinnis vorliegt. Sonst versagt es 
den Dienst. Anwendung bei z. B. Scanner. Tasratur. -^o 

5.2 Option: Beweis der RechtniiiBigkeit der Kartennutzung 

Bei Gebrauch von Chipkarten kann es sinnvoLl sein, den 
Besitzer der Karte nachweisen zu lassen. daB er die Kane -^5 
rechtrtiaBig benutzt. Hierzu wird der Benutzer nach derti 
Einlegen der Karren durch ein Signal aut'gefordert einen 
oder tuehrere Finger aut' den Fingerprintscanner zu legen. 
Die Daten der Fingerabdriicke dienen iiiit den Daten die aut' 
der Karre vertugbar sind zu Beweis der RechtniaBigkeit. -HJ 

6 Unierschiede zu bisherig verftigbaren Systenien 

Die Trans tonnierung der Daten kann nicht dynaniisch 
ein- und abgeschaltet werden. lst das Geheininis bzw. 45 
RechtniiiBige Nutzung des Geheiitmisses des Benutzers be- 
wiesen. verlassen das Gerat nur noch authentische Daren. 

E.xistierende Vert'ahren verwenden eine dynaniische Ein- 
und Ausschaltung der kryptographischen DatendarsteUung. 
Bertndet sich aber aut* der "unsicheren Verarbeitungseinheir" 5o 
ein Vims, Wunu oder eine sonsrige Manipularion, so besrehr 
die prinzipielle Moglichkeit die Darstelkmgsarr zu einem 
Zeitpunki zu wechseln. zu deiii die eigent lichen Nuizdaten 
deren Authenzitiit zu beweisen ist - ungeschiitzt (ini Klar- 
tcxt ) ubertragen weaien. Diese konnen dann illegitirii veran- 55 
dert werden. Die Vertinderung ware nicht Nachvveisbar. 
Nach der Anderung wiirde der Angreiter den Text ntit der 
elektronischen Unterschrift des Autors versehen und Autor 
sowie Ernpfanger wiirdcn zuniichst von der illegalen Beein- 
rtussung keine Kenntnis erlangen. Eine weitere Spiclart ^>*> 
ware, daB iter Angreit'e die Beschat'ten Daten als seine cige- 
ncn gegeniiber detn Eruptanger ausgeben konntc. 

I Ein full rung 

Die breite Akzeptanz von Coiupuiem in der Geschiit'ts- 
welt als auch iin privaien Bereich ist mitunier aut* die mchr 
vxter inimler einheiilichen uni.1 leicht beilieribaren Benutzcr- 



2 Gegenstand der zu schiitzenden [dee 

(irundidee ist. Daten nicht beiin EntstehungsprozeB. son- 
dern bei ihretii KonipositionsprozeB zu fixieren. Das bedeu- 
tet. man benotigr ein Gerat, niit deni die Authentiziiat von 
Daten festgestellt werden kann und das anschlieBend diese 
Daten in eine Darstellung uniwandelt, deren Authenrizirar 
durch enrsprechende kryptographische Verfahren leicht 
nachgewiesen werden kann, 

Dazu soil eine erweirerte Fonu eines Bildschimis oder ei- 
ner Tastatur dienen. der bzw. die die Einrichtungen besitzt, 
wie sie itn oben genannten Schrit'isatz beschrieben sind. und 
die dariiber hinaus in der Lage ist, bidirekrional Nutzdaten 
mit deni angeschlossenen Rechner auszutauschen. AuBer- 
derii existiert ein Weg. mit deni die vom Rechner ubennittel- 
ten Daren sicher aut' deren Korrektheit von deni Bildschinii 
bzw. der Tasrarur oder detn Anwender uberpriift werden 
konnen. Sind die Daten aurhentisch, so werden diese akzep- 
tierr und tuit weiteren Eingaben iiber die Tasratur oder ande- 
ren aurhenrischen Daren in einer aurhenrisch nachweisbaren 
Darsrellung an den Rechner gesandt, 

.1 Zielsetzung 

Gerat zur Bereitstellung authentischer Daten, die eindeu- 
rig einer Person zugeordner werden konnen. Durch das Ge- 
rat selbst Oder mir Hilte des Ge rates kann die Korrektheit 
von Daten. die von einer unsicheren Datenquelle staitinien. 
aut" Authentizitar gepriit't werden, Authenrische Daten von 
diesen Quellen konnen mit Daren aus sicheren Darenquellen 
verknupft werden. Die Darstellung der produzienen aurhen- 
rischen Daten wird durch enrsprechende kryptographische 
Vertahren trans tbrniierr - so daB deren Autheniizitiit nach- 
gewiesen werden kann - und verlassen das Gerat nur in die- 
ser Darsrellung. Das Geriit verlassen ausschlieBlich Daten. 
die aufhenrisch sind. 

4 Technische Realisierung 

Die Realisierung dieses Gerares ist in drei Varianien vor- 
stellbar: 

1, crweitertes Bildschinugerat 

2. crweiterte Tastatur 

}. Koinbination aus Bildschinugerat und Tasrarur 

Das Geriit besitzt neben den Baugruppen seiner liandcls- 
iiblichcn Baur'ornien folgemle rechnischc Vorrichrungen: 

cine l'!inheir. uin benur/erspezitische Daten zur Da- 
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tentradstorniicrLinu cnigcizcn/Ainchrucn. 

cine Eiiiiheit. urn Jie RechrmaL^igkoit ilcr Bcnur/.iini: 
tier bcnut-tcrs[xv.i(ischen Datcn /.ur Dat cn trans forn lie - 
rung konrroliieren /u konnen. 

- welrweir cineituleuriije Klenntar mir eineru unveriin- 
de rba ren Zc i te i n I le i t e n 1 1 lesser. 

- i.^ptional: ein LCD Display lur direkten Koiumuni- 
kation niii deiu Anwender. 

- hci tier Tastatur: ein Scanner, tiiit deui besriiimue 
Telle auf dein Bildschirni gescunnr werden konnen. i'> 

- heini BiUlschirmgerat: eine Elektronik. luir welcher 
besfirtinite Bildschirmbereiche in digitaler Fonn darge- 
srellr werden konnen, 

- eine Einheit. die die votn Rechner erhaltenen Daten 
veritiziert: B. spezieller Schalter auf der Tasratur 
otler Vergleichereinheit. die Daten voiii Biklschirnis- 
canner bzw. von der Bildschinuelektronik mit denen 
voru Rechner vergleicht. 

Die nalieliegenste Fonii der Realisierung scheint der 20 
Bildschinu zu sein, da hierdie Daten hierderu Benutzer pra- 
sentiert werden. iVIan benotigt nun noch einen Tastaturein- 
gang und einen Tastaturausgang zum Rechner. Die bidirek- 
t ion ale Koiuiiiunikation ist durch das eingehende Videos i- 
gnal und die Daten der Tastatur gege ben, -5 

Die Mischtbmi Tastatur - Bildschinn konnte derart aus- 
gefuhrt sein. daB statt dein expliziten Displayscanner die 
Daten von der Bildschinuelektronik an die Tastatur gesandt 
werden. 

Die Tastaturaustuhrung ist in einer eintachen Form denk- 30 
bar: die voiii Rechner erhaltenen Daten werden auf dem 
LCT>-Display angezeigt, und der Benutzer kontrolliert diese. 
Betindet er die Daten als korrekt, quittiert er diese durch 
eine entsprechende Tastaturbedienung. 

Eine autwendigere Form: mit Hilte eines BiLdschimiscan- 35 
ners werden die BiLdschirmdaten ertaiSt und direkt an die Ta- 
statur gesandt. die die Uberpriitung vornirumt. 

5 Punktionsweise 

-U) 

Die Austiihmngen werden durch die Authentizitatskon- 
trolle der am Bildschinu ausgewahlten Daten erweitert. Das 
Prograium schickt die ausgewahlten Daten zum Gerat, das 
die Bitdschinudarstellung in eineiu definierten Bereich so 
lange nicht cindert, bis es voru Gerat die Daten in authenti- -i5 
scher Darstellung zuriick geliet'ert bekonunt. Das Gerat 
scannt den Bildschinn und uberpriift die aus dem Scannvor- 
gang gewonnen Daten tnit denen, die es voin Rechner erhal- 
ten hac. Stimmen die Daten uberein, werden diese in ihrer 
Darstellung transformiert und wiedcr an den Rechner ge- 5«) 
sandt. Fur Daten von sicheren Geraten entfiillt dieser Uber- 
priifungsvorgang. 

Konkreres Anwendunysbeispiel fiirdas ADG (DATENERF 
GERAT) 

(iegenstand der Idee ist es. ein Datenerfassungsgeriir zu 
Vert'ugung zu haben. vlas nur authentische Daten an den 
Rechner lietert. Das Datcnerfassungsgerat und die SKIA 
wird als sicher (also vertrauenswiirdig) betrachtet, alles an- f^> 
do re als unsichcr! 

Uai die Autheniiziiat sichcrzustellen sind folgcndc 
Punkrc zu gew-ihrleisten (bereits bekannte Vertahren): 

- keinc Person kann eine [deniiiai annchmcn. die eincr (^^ 
anderen Person zugeordnet ist. 

die Daten bcsit/en eine Reprascntanz. die es /uUiBi. 
daL> Manipulaiionen rcstgestellt wcrilen konnen. 



Anhand eines konkreten Bcispiels (Bankkunde. dor cine 
Uherwcisung tiiiigt) .^oll die Funktionswcisc dcs AD(j er- 
kUiri werden: 

Vbrbereifung 

1. Die Bank erzeugt einen privaten und einen ott'eni li- 
chen Schlussel fiir einen Kunden, dessen [dcntifai in 
Fonn von Merkmalen (Name. Adres.se. (jeburtsdaturu 
usw. ) mit diesen .Schllisseln bei der Bank assoziiert 
werden. 

2. Der private Schlussel wird auf einer Eurocheque- 
karte tuit eineni Chip ubertragen. (Dieser Schlussel 
kann erst nach Nachweis der [deniittit des Kunden ge- 
lesen werden, z. B. PaBwort. Fingerabdruck. usw. Die- 
ser Nachweis tiir die [dentitiit kann nicht e.xplizit aus- 
gelesen werden. sondem wird iiber ein sogenanntes 
zero- know ledge Vertahren uberpriit't.) 

^. Der Kunde erhalt seine Eurochequekarte. 

Die Bank iibemimmt die Aut'gabe der PaGstelle (SKIA = 
Secure Key Issuing Authority) 

Uberweisung 

1. Der Kunde steckt seine Eurochequekarte in die Ta- 
statur 

2. Die Tastatur priirt die Giilrigkeit der Kane 

3. Der Kunde wird durch ein Signal autgetbrden, 
seine rechtniaBige Nutzung der eingelegten Euroche- 
quekarte nachzuweisen, z. B. durch Eingabe eines Pa6- 
wories, Aurtegen eines oder niehrerer Finger aut' einen 
in der Tastatur eingebauten Scanner, usw. 

4. Kann die korrekte Identitat (also die RechtmaBig- 
keir der Karrennutzung) nachgewiesen werden. wird 
der Kryptoeinheit in der Tastatur der geheinie SK- 
Schliissel des Kunden zur Verfugung gestellt. AuBer- 
dem erhalt die Tastatur den often t lichen PK-Schlussel. 
(Eine noch sicherere Alternative ware, daB der Chip 
auf der Kane die kryptographischen Autgaben iiber- 
ninimt und nur den ottentiichen Schlussel an die Tasta- 
tur ubergibt.) 

5. Der otYentliche Schlussel wird dem angeschlosse- 
nen Rechner ubergeben. dessen spezieller Tastaturtrei- 
ber die Transtonuierung der von der Tastatur erhalte- 
nen Daten in die ubliche Darstellung vominuut. 

6. AUe Daten, die vom Kunden Ciber die Tastatur ein- 
gegeben werden, werden zuniichst digital in der Tasta- 
tur unterschrieben (public-key Vertahren) und an- 
sch lie Bend an den Rechner iibenuittelt. Der Tastatur- 
treiber stelU der Anwendungssoftware die Klarie.Kt ver- 
sion (mit Hilte des ihm zur Vert'ugung gestellten oftent- 
lichen Schlussels) sowie die authentische Version der 
Anwendungssoftware zu Verfugung. 

7. Bei einer Ubemahme von Daten durch Auswahlop- 
tionen der Software (z. B. Bankleitzahlen. Kontonum- 
mem von bereits getatigten Uberweisungen, usw.) luuB 
eine sic here Uberprufung (wie dargestellt) erfolgen. 
dai\ut die Authentizitiit der Daten sichergestellt werden 
kann. 



Paientanspruche 

1. Datcnerfassungsgerat zur Erfassung von Daten und 
dcrcn t/bermittlung in einer auihentischen Darstellung. 
welches umfaBt: 
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- cine Duicncrt'assuniiscinhcii. 

- cine LTsrc Mentitikationscinhcir. uiii bcnut/cr- 
spczifisclie Daten cincs Rcnut/crs /u crt'usscn, 

- cine Daienvcrschlusseliinizcinhcir. wdchc ilie 
Datcn in Abhangiiikcit \on licn bcnut/erspc/.iH- 5 
schen Daten iti ilie auihcnfisclic Darstcllung trans- 
ton uiert, und 

- eine Datenuberniitrluniisefnhcif. 

2. Datenertassungsgertit nach Anspruch I. bci lIcih die 
Datencrtassungseinheit, die ersre (dcnnrtkationscin- lo 
licit, die Darenverschlusselungscinheit und die Daicn- 
Libenuiitlungseinheit eine Einheit bildcn, welclie Pro- 
graniiiianweisungen austlihrt, die auf eineiu Festwert- 
speicher ( ROM) gespeichert sind. 

.V Darcnert'assungsserat nach Anspruch I ode r 2. be i 15 
deiu liie erste rdentitikationseinheit ein Gerar zur 
Handhabung von Chipkarten ist. 

4. DarcnertassLingsgerat ziir Ert'assung von Daten und 
deren Ubennittlung in einer authentischen Darstellung. 
welches uiiitalSt; 20 

- eine Datenertassungseinheir, 

- ein Gerat zur Handhabung einer Chipkarie niit 
integrierteni Kryptochip, welches die benutzer- 
spezifischen Daten des Benutzers erfaBt und die 

zu iibemiittelnden Daren in die aurhentische Da- 25 
tendarstellung transtbrnuerr. und 

- eine Dateniibermittlungseinheit. 

5. Datenerfassungsgerat nach eineiu der vorhergehen- 
den Anspriiche, welche eine Uberprut'ungseinheit uni- 
fal3t, welche die Berechtigung des Benutzers zur Be- 30 
nutzung des Date nertassungsge rates iiberprut't. wobei 
die Daten wahlweise in einer nonualen oder einer au- 
thentischen Darstellung liberniittelt werden. 

6. Datenerfassungsgerat nach einem der vorhergehen- 
den Anspriiche. bei dem die Datenerfassungseinheit 35 
eine Tastatur unitaBt. 

7. Datenerfassungsgerat nach einem der vorhergehen- 
den Anspriiche, bei dem die Datenerfassungseinheit 
eine Videokamera umfaBt. 

8. Datenerfassungsgerat nach einem der vorhergehen- -^J 
den Anspriiche, bei dem die Datenerfassungseinheit ei- 
nen Scanner umfaiSt. welcher oprische [nfonnation von 
einem Dokument oder Standbild erfalSt. 

9. Datenerfassungsgerat nach Anspmch 10. bei dem 
die Datenerfassungseinheit zusatzlich eine oprische 45 
Buchstabenerkennung (OCR) durchfiilm. 

10. Datenerfassungsgerat nach einem der vorherge- 
henden Anspriiche, bei dem die Datenerfassungsein- 
heit und/cxlerdie erste Identifikationseinheit akustische 
Infonnation erfassen kann. yf> 

11. Datenerfassungsgerat nach Anspruch 10. bei dem 
vlie Datenerfassungseinheit und/oderdie erste Mentirt- 
kationscinheit ein Spracherkennungssystem 7.ur Um- 
w and lung gesprochener Infonnation in Befchle und/ 
oder alphanunierische Zeichen umfaGt. 55 

12. Datenerfassungsgerat nach einem der vorherge- 
henden Anspriiche. welches eine Schnittstelle zur 
Kommunikation mit einem oder melireren Pcripiierie- 
geraren umfaBt. 

13. Datenerfassungsgerat nach einem der vorherge- 
hcnden Anspriiciie. welches eine zweite Identihkati- 
onseinheit zur Hrfassung zweiter [dcntihkationsdaten 
umfaL^i. 

14. Datenerfassungsgerat nach Anspmch 13. bci dem 
die Uberpriifungseinheit mit Hilte der ersten uml/otlcr ^5 
zweiten [dentifikationsdaten vlie Berechtigung ilcs Be- 
nutzers zur Bcnutzung des Datencrfassungsg crates 
iiberpriitt. 



15. DaiciicrtLLssungsgcrat nach einem iler AnspriiclK' 
I.'^ inlcr 14, bci dem die /.weite filenritikationscinheii 
biotnctrische Daicn des Rcnut/.ers enuittelt, ilie von 
korperlichen Merkmalen un<l/odcr liigenschaficn des 
Bcnut/ers abgcleitct wcrilen. 

16. Date nerfa>sungsge rat nach Anspruch 15. bei dem 
es sich bei lier /.we i ten [dentilikationseinheit um einen 
Fingerprinrscanner handelr. 

17. Datenerfassungsgerat nach Anspruch 15, bei dem 
es sich bei der /weiren Ulentifikationseinheit um einen 
.S p rac h an al y sa tor h a nde 1 1 . 

18. Datenerfassungsgerat nach Anspruch 15, bei dem 
es sich bei der /we i ten Identifikationseinheit um einen 
optischen .Scanner handelt. der Infonnation von der 
^fetzhaut und/oder dem Augenhintergrund des Benut- 
zers erfal.>r. 

19. Datenerfassungsgerat nach einem der vorherge- 
henden Anspriiche, welches eine Datenverarbeirungs- 
einheir umfalSt. 

20. Datenerfassungsgerat nach einem der vorherge- 
henden Anspriiche, welches zusatzlich eine Darendar- 
srellungseinrichtung umfaBt. 

21. Datenerfassungsgerat nach Anspruch 20, bei dem 
die Datendarsrellungseinrichtung ein LCD-Display ist. 

22. Datenerfassungsgerat nach Anspruch 20, bei dem 
die Datendarstetlungseinrichtung ein Touch-Screen ist. 

23. Datenertassungsgerat nach einem der vorherge- 
henden Anspruche. welches einen Pufferspeicher auf- 
weist, in dem erfaBte Daten zwischengespeichen wer- 
den. 

24. Datenerfassungsgerat nach einem der vorherge- 
henden Anspruche. welche eine Datenvergleichsein- 
heit umfaBt. 

25. System zur Erfassung von Daten und deren Uber- 
mittlung in authentischer Form, welches umfaBt: 

- eine Datenverarbeitungseinrichtung und 

- ein Datenerfassungsgerat nach einem der An- 
spriiche 1 bis 24, wobei 

- die Datenverarbeitungseinrichtung einen Trei- 
ber zur Ver- und/oder Entschliisselung von Daren 
umfaBt. und 

- die Daten zwischen der Datenverarbeitungsein- 
richtung und dem Datenerfassungsgerat wahl- 
weise in einer un verse hlusselten oder nur in der 
authentischen Darstellung tibemiittelt werden. 

26. System nach Anspruch 25, wobei die Datenverar- 
beitungseinrichtung einen Festwenspeicher umfaBt, 
der eine authentische Version der Anwendungssoft- 
ware enthalt. 

27. Verfahren zur Erfassung von Daten und deren 
tJberiuittlung in einer authentischen Darstellung. mit 
den folgenden Schritten: 

- die Daten werden erfaBt: 

- benutzerspezitische Daten eines Benutzers wer- 
den erfaBt; 

- die Daten werden in Abhiingigkeit von den be- 
nutzerspezitischen Daten in die authentische Dar-, 
stellung transfonniert; und 

- die Daten werden in der authentischen Darstel- 
lung iibenuitrelt. 

28. Verfahren nach Anspruch 27, bei dem zur Erfas- 
sung der benutzerspezirtschen Daten des Benutzers Da- 
ren erfaBt werden, die auf einer Chipkarte gespeichen 
sind. 

29. Verfahren nach Anspruch 27 oiter 28. bei dem zur 
Eniiiitlung der Ideniitiit des Benutzers Identifikations- 
tlaien erfaBt werden uml uberpriift wird, ob die benut- 
zersjx:/ iti schen Daren und die Identitikationsdaten zu- 
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cinandcr in cincr [io/iehuiii: srclicn. ilic tur Jen ficnut- 
^xT charuktcristisch ist. 

.lO. Vcrfulircn nach Anspruch 2*^. hci do in die Mcntili- 
katiiinsdaten urui/iHlcr hcnui/.crs[xr/.irisclicn Daicn al- 
plianimterische Zcichen si nil. 

31. Vortahrcn nacli Ansprucli 2^), hci ilom als fdcniiti- 
kationsclaten bioruerrische Daren crfaLir vvcrdcn. die 
von korperliehen Merkniakn unit/cxicr Eiiienseliafrcn 
des Renurzers abgeleitet werden. 

32. Vcrtahren nach eineni der Anspriiche 27 his 3 1 . bei 
deni die Daren als optische Int'onuarion in Fonn von 
bewegren Bildern txler von StandbiUlem ert'uBt wer- 
den. 

3 3 . Ver tall re n n ac li A n sp rue h 3 2 . be i de m de r En for i u a- 
tionsgehalt der Daren durch elekrronisches Filtern re- 
duziert wird. 

34. Vert'ahren nach eineni der Anspriiche 32 oder 33, 
bet deni die Daren alphanuruerische Zeichen darsrellen. 
welche inir Hilt'e eines oprischen Buchsrabenerken- 
nungsvert'ahrens (OCR) aus ilen ertafiten Daren ennit- 
relr werden. 

35. Vert'ahren nach eineni der Anspriiche 27 his 34. bei 
dem zur Ert'assung der Daten akusrische Daren ertaBt 
werden. 

36. Vert'ahren nach Anspruch 35. bei dem die Daren 
aiphanunierische Zeichen darsrellen. welche luit Hilfe 
eines Spracherkennungsvertahrens enuirreU werden. 

37. Vertahren nach eineni der Anspriiche 27 bis 36. bei 
dem zur Ert'assung der Daren aiphanunierische Zeichen 
iiber eine Tastarur eingegeben werden. 

38. Vertahren nach eineni der Anspriiche 27 bis 37. bei 
dem zur Ertassung der Daten eine Meniiauswahl niir 
Hilte einer Cornputermaus vorgenommen wird. 

39. Vertahren nach Anspruch 38. bei dem zur Ertas- 
sung der Daren ein Fonnular auf einem Bildschinn dar- 
gesrellt wird, in das die Daten iiber eine Tastarur einge- 
geben werden. 

40. Vertahren nach Anspruch 38 oder 39, bei dem die 
ert'aGren Daren mitden zu ubenuittelnden Daren vergli- 
chen und nur nach einem ertblgreichen Vergleich iiber- 
mirrelr werden. 

41. Vertahren nach einem der Anspriiche 27 bis 40. bei 
dem die zu iibemiitrelnden Daren auf einer Darsrel- 
lungseinrichrung eines Datenerfassungsgerares darge- 
stellr werden und der Benurzer die Ubenuirrlung der 45 
Daren treigibr. 

42. Vertahren nach einem der Anspriiche 27 bis 4 1 . bei 
dem die Daren zur Trans tbnnar ion in die aurhenrische 
Darendarsrellung verschliisselt werden. 

43. Vertahren nach einem der Anspriiche 27 bis 42, bei 
dem die Daren mir Hilte eines asymmerrischen Ver- 
schlusselungsvertahrens vcrschliisselr werden. 

44. Vertahren nach Anspruch 43. bei dem ein ot'tenrli- 
cher Schliissel (public key) zum Verschlusseln der Da- 
ten verwendet wird. 

45. Vertahren nach Anspruch 44, bei dem der often r I i- 
che Schliissel auf der Chipkarte gespeichert ist. 

46. Vert'ahren nach Anspruch 44. bei dem der offenrli- 
che Schliissel von einem anderen Compurer bereirge- 
srellr wird. 

47. Vertahren nach Anspruch 43, bei dem ein sicherer 
Schliissel (secure key) zum Verschliisseln der Daren 
verwendet wird. 

48. Vert'ahren nach Anspruch 47. hci dem dor sicliere 
Schliissel auf der Chipkarte gespeichea ist. 

49. Vertahren nach einem der Anspriiche 27 bis 48. hci 
dem die elektroni.se hen Daten tiiit Fli I fc eines tligi tale n 
Signarurverfahrens in ilie authentische Darsrcllung 
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trans ton I lien werden. 

50. Vertahren nach eineni der Anspriiche 27 his 49, bei 
dem die Daien in auiheniischer Darsrcllung von einem 
Datenerfassungsgerat an einen Computer iiberniiitelt 
werden. 

5 1 . Vertahren nach einem der Anspriiche 27 bis 50. bei 
dem die Daten iiber ein lokales Netzwerk ( LAiV) an ei- 
nen anderen Rechner ubermittelt werden. 

52. Vertahren nach einem der Anspriiche 27 bis 50. hei 
dem die Daren iiber ein weitraumiges ^^etzwerk 
(WAN) an einen anderen Rechner ubeniiittelt werden. 
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